程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHP會話(Session)使用入門(含視頻)

PHP會話(Session)使用入門(含視頻)

編輯:關於PHP編程

對比起 Cookie,Session 是存儲在服務器端的會話,相對安全,並且不像 Cookie 那樣有存儲長度限制,本文簡單介紹 Session 的使用。

  由於 Session 是以文本文件形式存儲在服務器端的,所以不怕客戶端修改 Session 內容。實際上在服務器端的 Session 文件,PHP 自動修改 Session 文件的權限,只保留了系統讀和寫權限,而且不能通過 ftp 修改,所以安全得多。

  對於 Cookie 來說,假設我們要驗證用戶是否登陸,就必須在 Cookie 中保存用戶名和密碼(可能是 md5 加密後字符串),並在每次請求頁面的時候進行驗證。如果用戶名和密碼存儲在數據庫,每次都要執行一次數據庫查詢,給數據庫造成多余的負擔。因為我們並不能只做一次驗證。為什麼呢?因為客戶端 Cookie 中的信息是有可能被修改的。假如你存儲 $admin 變量來表示用戶是否登陸,$admin 為 true 的時候表示登陸,為 false 的時候表示未登錄,在第一次通過驗證後將 $admin 等於 true 存儲在 Cookie,下次就不用驗證了,這樣對麼?錯了,假如有人偽造一個值為 true 的 $admin 變量那不是就立即取的了管理權限麼?非常的不安全。

bkJia視頻教程32:PHP5中Cookie與 Session詳解

  而 Session 就不同了,Session 是存儲在服務器端的,遠程用戶沒辦法修改 Session 文件的內容,因此我們可以單純存儲一個 $admin 變量來判斷是否登陸,首次驗證通過後設置 $admin 值為 true,以後判斷該值是否為 true,假如不是,轉入登陸界面,這樣就可以減少很多數據庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了(Session 驗證只需要傳遞一次,假如你沒有使用 SSL 安全協議的話)。即使密碼進行了 md5 加密,也是很容易被截獲的。

  當然使用 Session 還有很多優點,比如控制容易,可以按照用戶自定義存儲等(存儲於數據庫)。我這裡就不多說了。

  Session 在 php.ini 是否需要設置呢?一般不需要的,因為並不是每個人都有修改 php.ini 的權限,默認 Session 的存放路徑是服務器的系統臨時文件夾,我們可以自定義存放在自己的文件夾裡,這個稍後我會介紹。

  開始介紹如何創建 Session。非常簡單,真的。

  啟動 Session 會話,並創建一個 $admin 變量:

PHP代碼
<?php    
//  啟動 Session    
session_start();    
//  聲明一個名為 admin 的變量,並賦空值。    
$_SESSION["admin"] = null;    
?>   

  如果你使用了 Seesion,或者該 PHP 文件要調用 Session 變量,那麼就必須在調用 Session 之前啟動它,使用 session_start() 函數。其它都不需要你設置了,PHP 自動完成 Session 文件的創建。

執行完這個程序後,我們可以到系統臨時文件夾找到這個 Session 文件,一般文件名形如:

sess_4c83638b3b0dbf65583181c2f89168ec,

後面是 32 位編碼後的隨機字符串。用編輯器打開它,看一下它的內容:

admin|N;
一般該內容是這樣的結構:

變量名|類型:長度:值;   並用分號隔開每個變量。有些是可以省略的,比如長度和類型。

我們來看一下驗證程序,假設數據庫存儲的是用戶名和 md5 加密後的密碼:

login.php

 

PHP代碼
<?php    
//  表單提交後...    
$posts = $_POST;    
//  清除一些空白符號    
foreach ($posts as $key => $value) {   
    $posts[$key] = trim($value);    
}    
$password = md5($posts["password"]);    
$username = $posts["username"];    
  
$query = "SELECT `username` FROM `user` WHERE `password` = $password AND `username` = $username";    
//  取得查詢結果    
$userInfo = $DB->getRow($query);    
  
if (!emptyempty($userInfo)) {    
    //  當驗證通過後,啟動 Session    
    session_start();    
    //  注冊登陸成功的 admin 變量,並賦值 true    
    $_SESSION["admin"] = true;     
} else {    
    die("用戶名密碼錯誤");    
}    
?>   

 

  我們在需要用戶驗證的頁面啟動 Session,判斷是否登陸:

PHP代碼
<?php    
//  防止全局變量造成安全隱患    
$admin = false;    
//  啟動會話,這步必不可少    
session_start();    
//  判斷是否登陸    
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {    
    echo "您已經成功登陸";    
} else {    
    //  驗證失敗,將 $_SESSION["admin"] 置為 false   
    $_SESSION["admin"] = false;    
    die("您無權訪問");    
}    
?>   

  是不是很簡單呢?將 $_SESSION 看成是存儲在服務器端的數組即可,我們注冊的每一個變量都是數組的鍵,跟使用數組沒有什麼分別。

  如果要登出系統怎麼辦?銷毀 Session 即可。

PHP代碼
<?php    
session_start();    
//  這種方法是將原來注冊的某個變量銷毀   
unset($_SESSION[admin]);    
//  這種方法是銷毀整個 Session 文件   
session_destroy();    
?>   

  Session 能否像 Cookie 那樣設置生存周期呢?有了 Session 是否就完全拋棄 Cookie 呢?我想說,結合 Cookie 來使用 Session 才是最方便的。

  Session 是如何來判斷客戶端用戶的呢?它是通過 Session ID 來判斷的,什麼是 Session ID,就是那個 Session 文件的文件名,Session ID 是隨機生成的,因此能保證唯一性和隨機性,確保 Session 的安全。一般如果沒有設置 Session 的生存周期,則 Session ID 存儲在內存中,關閉浏覽器後該 ID 自動注銷,重新請求該頁面後,重新注冊一個 Session ID。

  如果客戶端沒有禁用 Cookie,則 Cookie 在啟動 Session 會話的時候扮演的是存儲 Session ID 和 Session 生存期的角色。

我們來手動設置 Session 的生存期:

PHP代碼
<?php    
session_start();    
//  保存一天    
$lifeTime = 24 * 3600;    
setcookie(session_name(), session_id(), time() + $lifeTime, "/");    
?>   

  其實 Session 還提供了一個函數 session_set_cookie_params(); 來設置 Session 的生存期的,該函數必須在 session_start() 函數調用之前調用:

PHP代碼
<?php    
//  保存一天    
$lifeTime = 24 * 3600;    
session_set_cookie_params($lifeTime);    
session_start();    
$_SESSION["admin"] = true;    
?>   

  如果客戶端使用 IE 6.0 , session_set_cookie_params(); 函數設置 Cookie 會有些問題,所以我們還是手動調用 setcookie 函數來創建 cookie。

  假設客戶端禁用 Cookie 怎麼辦?沒辦法,所有生存周期都是浏覽器進程了,只要關閉浏覽器,再次請求頁面又得重新注冊 Session。那麼怎麼傳遞 Session ID 呢?通過 URL 或者通過隱藏表單來傳遞,PHP 會自動將 Session ID 發送到 URL 上,URL 形如:

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved